手機支付存隱患 安全漏洞曝光

【新唐人2014年6月16日訊】在現在互聯網的時代,面對各種針對互聯網的安全問題,沒有一勞永逸的辦法。例如支付寶雖然設置了多道門檻,但是隨著不法分子盜取用戶信息的手段越來越高明,依然存有隱患。據調查,互聯網支付和移動支付等第三平台的安全防護手段還不足以防範不法分子的攻擊,而這無疑是給用戶留下了巨大的安全隱患。近日,手機支付存隱患安全漏洞被曝光。

《新浪科技》報導,近一段時間手機用戶爆料,其銀行卡存款突然不翼而飛。

一名福建用戶稱,銀行卡被人從網上利用支付寶、網易寶等第三方支付方式盜刷了6筆2000元錢。另一江蘇省揚州市記者披露的一起銀行卡盜刷案,當事人銀行卡被盜刷6萬多元。

據警方介紹,在銀行卡被盜刷之前,當事人的銀行卡以及保障網銀安全的U盾、密碼等都沒有丟失過,更為奇怪的問題是,在整個盜刷過程中,當事人和銀行卡綁定的手機也沒有顯示出賬戶變化的提醒簡訊,直到當事人自己刷卡消費的時候,才發現銀行卡被盜刷了。

按照支付寶等第三方支付平台現有的安全防範措施,只有同時掌握賬號、登錄密碼、支付密碼以及簡訊驗證碼這四道安全防護密匙,才有可能從網上通過第三方支付平台刷卡轉賬。

報導指出,由於用戶個人不慎泄露了隱私信息,導致銀行卡資金被盜。現在已經拿到用戶的這款小米2手機,存在比較多的安全漏洞

清華大學副研究員、國家重大專項課題之《Linux/Android操作系統安全漏洞檢測》研究小組負責人諸葛建偉表示,攻擊者會設置一個公共的釣魚wifi,通過去配置這樣的一款無線路由器,去把它作為用戶手機上網的,中間人攻擊的一個節點。那如果用戶為了省流量,用他的手機連入到這樣的一個公共Wifi里,用戶的上網流量就會被劫持到攻擊者指定的一個筆記本電腦或者是PC上。

專家介紹說,一旦手機用戶的上網數據流被攻擊者劫持,用戶點開的任何一個網頁,實際上都可能被攻擊者暗地裡插入了惡意攻擊程序,它會利用手機瀏覽器的安全漏洞,接著在用戶手機中自動植入新的木馬程序。而這種木馬程序又會進一步利用手機操作系統內核中存在的ROOT提權漏洞,這種漏洞會被用來獲取原本屬於系統自身才能擁有的最高許可權,這就意味著攻擊者由此獲得了手機的完全控制權。

當用戶在手機上輸入支付寶賬號和密碼的時候,這些極其重要的賬戶認證信息幾乎同時暴露在攻擊者的電腦屏幕上。

按照支付寶的流程設計,單筆付款金額達到200元,必須經過簡訊驗證碼確認後,才能完成支付操作。然而,專家分析發現,攻擊者獲得手機完全控制權後,簡訊驗證碼的安全防範作用也就相當於形同虛設。

同時他還可以利用手機上的木馬程序,對支付寶發給用戶手機的一個驗證碼來進行攔截。這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下,偷偷地把你的錢轉走。

除小米2 機型外,像三星的Galaxy S4、谷歌(551.76, 0.41, 0.07%)的Nexus4以及華為、聯想的(品牌的)一些機型,也都同樣存在著這樣的ROOT提權安全漏洞,也就是能夠讓攻擊者獲取手機最高許可權的一個漏洞。

這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權漏洞,進行進一步的攻擊,完全屏蔽掉360手機衛士的運行,從而讓它失效,我們還進一步分析發現,這種攻擊模式,對像騰訊(117.2, 1.10, 0.95%, 實時行情)手機管家這樣的一些市場上主流的手機安全軟體同樣有效,同樣可以讓它們失去保護手機的效果。

在進行一個惡意轉賬之後,可以徹底地把木馬程序和所有的一些日誌都進行一個擦除。這樣的話,即使你進行了一個報案,你把這個手機交給了警方,警方(目前)也沒有任何的辦法通過舉證分析去找到攻擊者的一個線索。

據報導,支付寶應用由於缺乏一些對抗逆向分析的機制,以及並沒有對修改後的支付寶應用進行一個驗證,就使得被修改後后的支付寶應用還可以像原來一樣去連接伺服器,來完成登錄和轉賬的操作。

專家研究分析和測試後發現,攻擊者之所以能獲取手機用戶的支付寶賬號和密碼等重要的認證信息,恰恰就是因為他能夠對支付寶應用程序進行插樁,植入惡意程序片段,對用戶輸入進行監控。

相關文章
評論
新版即將上線。評論功能暫時關閉。請見諒!